Abo
  • IT-Karriere:

Sicherheitslücke: Login ohne Passwort mit LibSSH

Eine sehr schwerwiegende Sicherheitslücke in der Bibliothek LibSSH erlaubt es Angreifern, die Authentifizierung beim Login zu überspringen. Doch die Auswirkungen dürften begrenzt sein: Kaum jemand nutzt LibSSH für Server.

Artikel veröffentlicht am , Hanno Böck
Die Bibliothek LibSSH nutzt kaum jemand auf Serverseite - daher dürfte eine schwerwiegende Sicherheitslücke wenig Auswirkungen haben.
Die Bibliothek LibSSH nutzt kaum jemand auf Serverseite - daher dürfte eine schwerwiegende Sicherheitslücke wenig Auswirkungen haben. (Bild: Screenshot Webseite / Hanno Böck)

Eigentlich wäre es eine katastrophale Sicherheitslücke: Die Bibliothek LibSSH erlaubt es, beim Login den Authentifizierungsprozess zu überspringen. Clients können einfach durch das Senden einer falschen Protokollnachricht behaupten, dass der Nutzer bereits authentifiziert sei - und sich somit einloggen, ohne ein Passwort vorzuweisen.

Stellenmarkt
  1. BWI GmbH, Meckenheim, München
  2. Hays AG, Berlin

Die Entwickler von LibSSH haben die Versionen 0.7.6 und 0.8.4 veröffentlicht, in denen das Problem behoben ist. Die Lücke hat die Id CVE-2018-10933 erhalten.

Wer LibSSH auf Server-Seite nutzt, sollte daher unbedingt sofort updaten - und muss möglicherweise damit rechnen, dass der Server bereits von Angreifern übernommen ist. Allerdings dürfte das nur wenige Personen tatsächlich betreffen, denn die Server-Funktion von LibSSH wird nicht sehr häufig genutzt.

Nur wenige Server mit LibSSH

Die Bibliothek LibSSH implementiert das SSH-Protokoll und wird auch von einer Reihe von Anwendungen genutzt, beispielsweise von KDE. Doch in den allermeisten Fällen nutzen Applikationen LibSSH nur, um clientseitig Verbindungen aufzubauen. Die sind jedoch von der Lücke nicht betroffen.

Der einzige prominente Nutzer von LibSSH dürfte Github sein, die laut LibSSH-Webseite diese Bibliothek serverseitig nutzen. Allerdings erklärte Github in einem Tweet, dass man von der Lücke nicht betroffen gewesen sei. Der Grund: Man nutze LibSSH nur mit Public-Key-Authentifizierung und die sei ebenfalls nicht betroffen. Zur Sicherheit habe man bei Github das Update aber trotzdem eingespielt.

Einige Twitter-Nutzer berichten, dass sie mit Shodan einige Tausend verwundbare Geräte im gesamten Internet finden. Für die Betroffenen ist das natürlich relevant, aber zu Massenhacks wird es wohl nicht kommen.

Wer SSH auf Servern einsetzt, nutzt meist OpenSSH, im Embedded-Bereich und bei IoT-Geräten kommt häufig die Software Dropbear zum Einsatz. Beide Projekte sind von LibSSH völlig unabhängig und damit nicht betroffen.



Anzeige
Top-Angebote
  1. 79,00€
  2. 999,00€ + Versand
  3. (u. a. GTA 5 12,49€, GTA Online Cash Card 1,79€)
  4. (aktuell u. a. Dell-Notebook 519€, Dell USB-DVD-Brenner 34,99€)

Folgen Sie uns
       


E-Bike-Neuerungen von Bosch angesehen

Neue Motoren und mehr Selbstständigkeit für Boschs E-Bike Systems - wir haben uns angesehen, was für 2020 geplant ist.

E-Bike-Neuerungen von Bosch angesehen Video aufrufen
Transport Fever 2 angespielt: Wachstum ist doch nicht alles
Transport Fever 2 angespielt
Wachstum ist doch nicht alles

Wesentlich mehr Umfang, bessere Übersicht dank neuer Benutzerführung und eine Kampagne mit 18 Missionen: Das Schweizer Entwicklerstudio Urban Games hat Golem.de das Aufbauspiel Transport Fever 2 vorgestellt - bei einer Bahnfahrt.
Von Achim Fehrenbach

  1. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  2. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle
  3. Bright Memory angespielt Brachialer PC-Shooter aus China

FPM-Sicherheitslücke: Daten exfiltrieren mit Facebooks HHVM
FPM-Sicherheitslücke
Daten exfiltrieren mit Facebooks HHVM

Server für den sogenannten FastCGI Process Manager (FPM) können, wenn sie übers Internet erreichbar sind, unbefugten Zugriff auf Dateien eines Systems geben. Das betrifft vor allem HHVM von Facebook, bei PHP sind die Risiken geringer.
Eine Exklusivmeldung von Hanno Böck

  1. HHVM Facebooks PHP-Alternative erscheint ohne PHP

In eigener Sache: Golem.de bietet Seminar zu TLS an
In eigener Sache
Golem.de bietet Seminar zu TLS an

Der Verschlüsselungsexperte und Golem.de-Redakteur Hanno Böck gibt einen Workshop zum wichtigsten Verschlüsselungsprotokoll im Netz. Am 24. und 25. September klärt er Admins, Pentester und IT-Sicherheitsexperten in Berlin über Funktionsweisen und Gefahren von TLS auf.

  1. In eigener Sache Zweiter Termin für Kubernetes-Seminar
  2. Leserumfrage Wie können wir dich unterstützen?
  3. In eigener Sache Was du schon immer über Kubernetes wissen wolltest

    •  /